UNLOCK அறிவியல் 2.O - 39

விண்வெளிப் பயணத்தில் தன்னுடன் இணைந்து வரும் வாய்ப்பிற்காக ஜெஃப் பெசோஸ் நடத்திய ஏலத்தில் இருபத்தெட்டு மில்லியன்களைக் கொடுத்து வெற்றிபெற்றவர் யார் என்பது விரைவில் தெரியவரும் எனச் சொல்லியிருந்தேன். ரகசியமாக வைக்கப்பட்டிருந்த அந்த நபர் யாரென்று தெரியாமலே போய்விடும் போலிருக்கிறது. காரணம், திட்டமிடலில் இருந்த சிக்கல்கள் காரணமாக, மேற்படி நபர் பணத்தைக் கொடுத்துவிட்டு வரமுடியாது என்று சொல்லிவிட்டாராம். அவரது இடத்தை நிரப்ப 18 வயதான ஆலிவர் டேமனுக்கு எதிர்பாராமல் வாய்ப்பு கிடைத்திருக்கிறது. பள்ளி முடித்துக் கல்லூரி செல்வதற்கு முன்னால், விமான பைலட்டாகப் பயிற்சி எடுத்துக்கொண்டிருந்த ஆலிவர், ஜெஃப் பெசோஸின் சகோதரர் மார்க் பெசோஸ், இவர்களுடன் வாலி ஃபங்க் என்ற பெண்ணும் இடம் பெற்றிருக்கிறார்கள். ‘மெர்க்குரி 13’ என்ற நாசாவின் திட்டத்தில் பயிற்சி எடுத்துக் கொண்ட வாலி, அந்தத் திட்டம் முழுமையாக நிறைவேறாததால், விண்வெளிக்குச் செல்ல முடியவில்லை. அந்த ஏமாற்றத்தைப் பொருட்படுத்தாமல், விமானப் பயணப் பாதுகாப்புத் துறையில் பணியாற்றிய வாலிக்கு விண்வெளிக்குச் செல்வது பற்றிய தொடர் கனவு இந்த வாரம் நிறைவேறிவிட்டது. சொல்ல மறந்துவிட்டேன் - வாலிக்கு 82 வயதாகிறது. ‘மெர்க்குரி 13’ நடத்தப்பட்ட வருடம் 1961.

“அமேசான் வாடிக்கையாளர்களுக்கு நன்றி. உங்கள் பணத்தில்தான் இந்தப் பயணம் சாத்தியமானது” என்று பறப்பதற்கு முன் சொன்ன பெசோஸ், விண்வெளியைத் தொட்டதும் “என் வாழ்வில் மிகச்சிறந்த நாள்” என ராக்கெட்டில் கூக்குரலாகச் சொன்னது துல்லியமாகக் கேட்டது.

இஸ்ரேலிய நாட்டு NSO நிறுவனம் தங்களது Pegasus என்ற மென்பொருளை அலைபேசிகளில் வன்நுழைவு (Hacking) செய்து உளவு செய்த அட்டகாசங்கள் இந்த வரி எழுதப்படும் நாளில் உலகெங்கும் இருக்கும் மீடியாக்களில் வெளிவந்தபடி இருக்கும் செய்தி. இந்த வாரத்தின் டாப் டாப்பிக்கல் நிகழ்வு என்பதால், அரசியல் சிக்கல்களைத் தவிர்த்து அறிவியல் தொழில்நுட்பத்தை ஆழமாக அன்லாக் செய்யலாம்.

கணினித் தொழில்நுட்பம் வந்த நாளில் இருந்தே வன்நுழைவு என்பது நடந்து வருகிறது. இணையம் என்பது வருவதற்கு முன்னால், கணினியின் இயக்கத்தைக் குலைத்து அதைச் சரி செய்யும் மென்பொருள்களை விற்பது என்பது நடந்தது.

எளிய அலைபேசிகள் வரத்தொடங்கிய காலங்களில், அவற்றைப் பாதுகாப்பாக இயக்க முடிந்தது. பேசவும் எழுத்து வடிவிலான குறுஞ்செய்திகள் அனுப்பவும் மட்டுமே இயலும் என்பதால் அவற்றை வன்நுழைவு செய்வதால் பெரும்பலன் இல்லை என்பது இதற்கு முக்கிய காரணம். குற்ற நடவடிக்கைகளைக் கண்காணிக்க தொலைபேசிகளை ஒட்டுக் கேட்பது என்பது உலகின் பல நாடுகளில் இருக்கும் வழக்கமே. முதிர்ந்த ஜனநாயக நடவடிக்கைகள் பின்பற்றப்படும் நாடுகளில், இதற்கென சட்ட வரைமுறை இருக்கும். உதாரணத்திற்கு, அமெரிக்காவில் யாராவது ஒருவரின் தொலைபேசி ஒட்டுக் கேட்கப்பட வேண்டுமென்றால், அதற்கு நீதிபதி ஒருவரின் ஒப்புதல் இருக்க வேண்டும். அப்படி இல்லாமல், காவல்துறை அல்லது FBI போன்ற அமைப்புகள் தான்தோன்றித்தனமாக ஒட்டுக் கேட்பதைச் செய்தால், அது நீதிமன்றத்தில் செல்லுபடியாகாது என்பது மட்டுமல்ல; இப்படிச் செய்தவர்கள் சிறைக்குச் செல்ல நேரிடும் வாய்ப்புகூட உண்டு.

ஸ்மார்ட் அலைபேசிகள் வந்தபின்னர் நிலைமை சிக்கலானது. ஆப்பிள், கூகுள் போன்ற அலைபேசி இயங்கு மென்பொருளைத் (Operating Systems) தயாரிக்கும் நிறுவனங்களும், அலைபேசிகளில் இயங்கும் மென்பொருள்களைத் (Apps) தயாரிப்பவர்களும் அலைபேசிப் பயன்பாடு பத்திரமாக இருக்க வேண்டும் என்பதில் மெனக்கெட ஆரம்பித்தார்கள். அதில் முக்கியமானது, புள்ளியில் இருந்து புள்ளி வரை செய்யப்படும் குறியாக்கம் (End-to-End Encryption). இந்தத் தொடரின் தொடக்கக் கட்டுரைகள் ஒன்றில் பொதுச் சாவிக் கட்டமைப்பு (Public Key Infrastructure) என்பதை விரிவாக அன்லாக் செய்தது நினைவிருக்கலாம். இந்தக் கட்டமைப்பின்படி, அலைபேசிக்குள் இருக்கும் தகவல், பெற்றுக்கொள்ளப் போகிறவரின் பொதுச் சாவி கொண்டு குறியாக்கம் செய்யப்பட்டே அனுப்பப்படும். தகவலை மறுமுனையில் பெற்றுக் கொள்பவர் தனது பிரத்யேகச் சாவி கொண்டு மறை குறியாக்கம் (Decryption) செய்து தகவலை எடுத்துக்கொள்வார். இடையில் அமர்ந்திருக்கும் அலைபேசி நிறுவனம் ஒட்டுக் கேட்டு பதிவு செய்துகொண்டாலும், கொத்துபுரோட்டா போல குறியாக்கத்தால் குதறப்பட்ட தகவலாகத்தான் அது இருக்கும். இந்தக் கட்டமைப்பு அலைபேசிகளில் நிறுவப்பட்டபின்னர், அவற்றை வன்நுழைவு செய்வதென்பது அடுத்த நிலைக்குச் சென்றது.

அந்த நிலையின் விவரங்களை அறிந்துகொள்ள வன்நுழைவாளர்கள் பயன்படுத்தும் சில முறைமைகளைப் புரிந்துகொள்ள வேண்டியது அவசியம்.

சமூகப் பொறியியல் (Social Engineering): மின்னஞ்சலிலோ, குறுஞ்செய்தியிலோ அல்லது வாட்ஸ்அப் போன்ற செயலிகளிலோ பொய்யான விவரங்களை உண்மை போலவே வடிவமைத்து, அந்தச் செய்தியின் படி உங்களை ஏதோ ஒன்றைச் செய்ய வைப்பது.

Phishing: மீன்பிடித்தல் என்ற ஆங்கில வார்த்தையான Fishing என்பதை ஒட்டி வைக்கப்பட்ட புதிய சொல் இது. போலி வலைதளங்களை உண்மையான நிறுவனத்தின் தளங்கள்போல வடிவமைத்து, உங்களை ஏமாற்றி அதில் உங்கள் பாஸ்வேர்டு உள்ளிட்ட விவரங்களைக் கொடுக்க வைப்பது. பொதுவாக ஏராளமானவர்களுக்கு மொத்தமாக மின்னஞ்சல் அல்லது குறுஞ்செய்தி அனுப்பி அவர்களில் யார் இந்த கிரிமினல் தூண்டிலில் விழுகிறார்கள் என்பதைப் பார்த்து, அவர்களின் விவரத்தைத் திருடிக்கொள்வது என்பது இதன் நோக்கம்.

Spear Phishing: தூண்டிலில் இரையை வைத்து அதை எந்த மீன் கடிக்கிறதோ அதை இழுத்துப் போட்டுக்கொள்வது Phishing என்றால், உங்களைப் பற்றிய தகவல்களை சமூக வலைதளம் போன்ற பொது வெளியில் சேகரித்தோ, அல்லது, சமூகப் பொறியியல் முறைமைகள் மூலம் உங்களிடமிருந்தே நேரடியாகப் பெற்றுக் கொண்டோ உங்களைக் குறிவைத்து ஏவப்படும் அம்பு இது.

Injection: வலைதள முகவரிகளைப் பகிர்ந்து கொள்ளும்போது அதில் சில மாற்றங்களைச் செய்து, அந்தப் பக்கங்களுக்குள் செல்கையில் உங்களுக்குத் தெரியாமலே வன்நுழையும் மென்பொருள்களைத் தரவிறக்கம் செய்ய வைக்கும் முறைமை இது.

Pegasus மென்பொருள் பயன்பாட்டிற்கு வந்து பல ஆண்டுகள் ஆகின்றன. யூடியூபில் சென்று Pegasus எனக் கொடுத்தால், இந்த மென்பொருள் உங்கள் அலைபேசியைத் தாக்கிவிட்டதா, தாக்காமல் பாதுகாக்க என்ன செய்யலாம் என்பதைப் பற்றிய தகவல்கள் ஐந்து வருடங்களுக்கு முன்னதாகப் பகிரப்பட்டிருப்பது தெரியும்.

Pegasus மென்பொருள் அறிமுகமான புதிதில், Spear Phishing மற்றும் Injection முறைமைகளைப் பயன்படுத்தியே வன்நுழைவைச் செய்தது. இது வெற்றியடைய மின்னஞ்சல் அல்லது குறுஞ்செய்தி வழியாகப் பகிரப்படும் வலைப்பக்க முகவரியை நீங்கள் தொட்டு அந்தப் பக்கத்திற்குச் செல்ல வேண்டும். அது பல முகவரிகளுக்கு தடாலென மாற்றிக் கொண்டே சென்றபடி இருக்கும். அவர்களால் இயக்கப்படும் பெருங்கணினிகளில் (Servers) இருந்து பல்வேறு வகையான மாற்றங்களைச் செய்யும் மென்பொருள்கள் உங்கள் அலைபேசிக்குள் இறக்கப்பட்டு தகவல் வேட்டை தொடங்கும். அலைபேசிப் பயனீட்டாளர்களிடம் அதிகம் விழிப்புணர்வு வர வர, இதுவும் சாத்தியமில்லாமற்போனது. சம்பந்தமில்லாத எண்களிலிருந்து வரும் செய்திகளைப் பயனீட்டாளர்கள் புறக்கணிக்க ஆரம்பித்தார்கள்.

Pegasus தற்சமயம் பயன்படுத்தியிருக்கும் வன்நுழைவு முறைமை திகைக்க வைக்கும் ரகம். Zero click hacking எனும் முறைமையைப் படு லாகவமாகக் கண்டறிந்து, அலைபேசிகளை வன்நுழைவு செய்கிறது Pegasus மென்பொருளின் லேட்டஸ்ட் வடிவம்.

இது எப்படி சாத்தியம்?

ஒருவகையான Injection முறைமைதான் இதுவும். ஆனால், பயனீட்டாளரின் செயல்பாடு தேவையில்லை இதற்கு. அலைபேசியின் இயங்கு மென்பொருள் எப்படி உருவாக்கப்படுகிறது என்பதை மிகத் தெளிவாகப் புரிந்து கொண்டு, அதன் இயக்கத்தில் உட்புகுந்து அமர்ந்து கொள்வது எப்படி என்பதை முதலில் வடிவமைக்கிறார்கள். அலைபேசி இயங்கு மென்பொருள் பொதுவாக பாதுகாப்பானதுதான் என்றாலும், அதில் இயங்கும் தகவல் தொடர்பு மென்பொருள்கள் யாரிடமிருந்தும் தகவல்களைப் பெற்றுக்கொள்ளும் விதத்திலேயே வடிவமைக்கப்படுகின்றன. உதாரணத்திற்கு, ஆப்பிள் ஐபோனின் குறுஞ்செய்தி iMessage அழகுணர்வுடன் வடிவமைக்கப்பட்ட செயலி. புதிதாகச் குறுஞ்செய்தி வந்ததென்றால், அதைப் பற்றிய அறிவிப்பைப் பயனீட்டாளருக்குத் திரையில் ஒலியுடன் தெரிவிக்க வேண்டும் என்பதால், iMessage செயலி வெளி உலகத்தில் இருந்து வரும் தகவல்களைப் பெற்றுக்கொள்ள எப்போதும் தயார் நிலையில் இருக்கும். இதைப் பயன்படுத்தி, குறிப்பிட்ட பதிவுகளைக் குறுஞ்செய்திகளாக அனுப்பி, அலைபேசியின் இயங்கு மென்பொருளுக்குள் தங்களுக்குத் தேவையான நிரலிகளைப் புகுத்திவிட முடியும். அதன்பின்னர் அதைப் பயன்படுத்தி, புகைப்படங்கள், மின்னஞ்சல்கள் எனப் பல தகவல்களை அவர்களால் இயக்கப்படும் பெருங்கணினிகளுக்கு Pegasus அனுப்பிக்கொண்டே இருக்கும். சில வகை அலைபேசிகளில் கேமராவைப் பயன்படுத்தும் மென்பொருளைக்கூடத் தன் வசம் கொண்டுவந்திருக்கிறது Pegasus என்பதைக் கண்டறிந்திருக்கிறார்கள். நம் அலைபேசியில் வன்நுழைவு நடந்திருக்கிறது என்பது தெரியாமல், நாம் தொடர்ந்து அலைபேசியைப் பயன்படுத்தியபடி இருப்போம். அலைபேசியைப் புதிதாக வாங்கியதுபோல் இருக்கும்படி Factory Reset செய்தாலும், Pegasus மென்பொருளின் எச்சங்கள் இருப்பதாகக் கண்டறிந்து சொல்லியிருப்பது அதிர்ச்சியிலும் அதிர்ச்சி.

‘வெயிட், நவீன அலைபேசிகளில் குறியாக்கம் மூலம் தகவல்கள் பரிமாறப்படுவதாகச் சொன்னாய், அண்டன். அப்படியானால் சிதைக்கப்பட்ட தகவல்கள்தானே அவர்களுக்குக் கிடைக்கும்?’ என்ற கேள்வி எழலாம். பதில் - ‘இல்லை.’ Pegasus அலைபேசிக்குள்ளேயே வம்படியாக வந்து அமர்ந்துகொள்வதால், மறுகுறியாக்கம் செய்யப்பட்ட தகவல்களை நேரடியாகப் பெற்றுக்கொள்ள முடியும்.‘வாஷிங்டன் போஸ்ட்’ உட்பட உலகின் பல முன்னணி மீடியாக்களுடன் இணைந்து மனித உரிமைகளுக்காகப் போராடும் அமைப்பான ஆம்னஸ்டி இண்டர்நேஷனல், Pegasus பற்றிய செய்தியைக் கொண்டுவர உழைத்திருக்கிறது. ‘வாஷிங்டன் போஸ்ட்’ இதழ் குறிப்பாக இதில் மும்முரமாக இருந்ததற்கு முக்கிய காரணம் இருக்கிறது.

சவுதி அரேபிய அரசுடன் நெருக்கமாக இருந்து, அதன் பின்னர் விரிசல் ஏற்பட்டு அமெரிக்கா வந்து ‘வாஷிங்டன் போஸ்ட்’ இதழில் மத்திய கிழக்கு பற்றிய கட்டுரைகளுக்குப் பொறுப்பாளராக இருந்த ஜமால் காஷியோஜி துருக்கியில் சவுதி அரேபியத் தூதரகத்தில் கொடூரமாகக் கொல்லப்பட்டார். துண்டு துண்டாக வெட்டி சூட்கேஸ்களில் வைத்து எடுத்துச் செல்லப்பட்ட அவரது உடல் இன்னும் கண்டுபிடிக்கப்படவில்லை. அவர் கொலை நடந்த நாளில் இருந்து ‘வாஷிங்டன் போஸ்ட்’ இதழ் தொடர்ந்து அது சம்பந்தமான கட்டுரைகளை வெளியிட்டபடியே இருந்தது. Pegasus மென்பொருள் மூலம் வன்நுழைவு செய்து அவரது ஒவ்வொரு நகர்வையும் கண்டறிந்துதான் மேற்கண்ட கொடூரம் நிகழ்த்தப்பட்டது என்பது இப்போது தெரிய வந்திருக்கிறது.

ஆண்ட்ராயிடுடன் ஒப்பிடுகையில், தங்களது தொழில்நுட்பம் படு பாதுகாப்பானது என எப்போதும் பெருமைப்பட்டுக்கொள்ளும் ஆப்பிள் நிறுவனத்திற்கு Pegasus நிகழ்வு பெருத்த அடி. காரணம், வெளியாகியிருக்கும் தகவலின்படி, ஆப்பிளின் லேட்டஸ்ட் இயங்கு மென்பொருள் இருக்கும் ஐபோன் 12 அலைபேசியைக்கூட Zero click hacking செய்திருக்கிறது Pegasus. இந்த வரி எழுதப்படும் வரை ஆப்பிளிடம் இருந்து எந்த அறிக்கையும் வரவில்லை.

இந்தத் தொடரை அடுத்த வாரத்தில் நிறைவு செய்கிறேன். இந்தக் கட்டுரை மட்டுமல்லாமல், தொடர் பற்றிய உங்கள் பின்னூட்டங்களை +1 628 240 4194 என்ற எண்ணுக்கு வாட்ஸப்பில் அனுப்புங்கள்.

- Logging in...